upload-labs通关

最新推荐文章于 2024-05-25 15:23:03 发布
最新推荐文章于 2024-05-25 15:23:03 发布
阅读量703 收藏
点赞数 1
分类专栏: 日常练习 CTF 文章标签: apache php 服务器 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46684679/article/details/128207355
版权

upload-labs通关

shell === 🍉

目录

shell能上传并能解析就算成功

PASS-01、PASS-02

图片马抓包改后缀就行

请添加图片描述

PASS-03

根据源码分析,直接上传PHP4、PHP5或phtml文件就行,只不过在Apache配置文件需要增加PHP4、PHP5能够解析成php的语句

PASS-04

过滤的很全,但没有过滤.htaccess和.user.ini,两者都能配合图片马可以来发组合拳
.htaccess文件:

SetHandler application/x-httpd-php

图片马:

GIF89a
auto_prepend_file=hack.jpg

PASS-05

上传.user.ini文件,配合图片马hack.jpg食用
.user.ini:

GIF89a
auto_prepend_file=hack.jpg

PASS-06

源码没有缺少将后缀名全改小写的函数,所有可以通过部分大写或全大写的形式改后缀,如Php、PHP
请添加图片描述

PASS-07

源码没有处理文件名末尾的空格,可以通过后缀加空格的方式绕过黑名单,貌似win和linux都行
请添加图片描述

PASS-08

源码没有处理文件名末尾的.号,可以通过后缀加.的方式绕过黑名单,只能在win上这么绕过

请添加图片描述

PASS-09

源码没有处理文件名末尾的:: D A T A 号 , 后 缀 名 后 加 上 : : DATA号,后缀名后加上:: DATA::DATA绕过

请添加图片描述

PASS-10

源码对某些字符只是过滤一次,可以根据代码的顺序来构造php后缀

请添加图片描述

PASS-11

转换黑名单上的字符串为空格,双写绕过,如pphphp
请添加图片描述

PASS-12

php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭
payload:

/upload-labs/Pass-12/index.php?save_path=../upload/h.php%00

请添加图片描述

PASS-13

payload: ../upload/h.php+
并且把+的hex值有2d改为00
请添加图片描述

PASS-14

上传一张图片马,并获取图片地址,使用提供的文件包含漏洞解析,最后使用蚁剑连接
payload: http://192.168.1.28/upload-labs/include.php?file=upload/5020221205182144.jpg

请添加图片描述

请添加图片描述

PASS-15

同14

PASS-16

不知为何提交图片就不动了,跳了

PASS-17

对图片上传进行二次渲染
可以试着观察经过和未经过imagecreatefromjpeg函数的图片数据,把其中没有变化的数据替换换成一句话木马

PASS-18

条件竞争,记得先退杀毒软件,几次被失败被搞懵了
解析源码,会发现是先上传任意文件到指定文件夹,在判断是否合法,合法则保留,不合法则不保留(ulink函数),
所以可以利用php文件成功上传后还没被删除这个时间戳,直接访问这个php文件,达到执行任意php代码的目的
由于计算机处理文件速度一般比手速快,所以使用脚本的方式来访问

import requests
import time

url = "http://192.168.1.28/upload-labs/upload/make_shell_php.php"

while (1):
    res = requests.get(url)
    if res.status_code == 200:
        print("true")
        break
    else:
        print("false")

请添加图片描述
请添加图片描述

PASS-19

图片马配合文件包含

PASS-20

文件名是可以自定义的,但是要经过黑名单,后缀改.PHP或者.php/.都可以绕过,也可以使用00截断,但环境要允许

PASS-21

白名单+数组绕过

//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
    $file = explode('.', strtolower($file));
}

这里其实直接传一个数组进去,这样就可以绕过这个if执行的字符串转数组的过程
修改包信息
save_name[0] = upload-21.php
save_name[2] = jpg
相当于即传进去一个数组[‘upload-21.php’,‘’,‘jpg’]

$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
    $msg = "禁止上传该后缀文件!";
}

这里会取数组末尾的元素去白名单里判断是否合法,所以数组末尾的元素必须是白名单里某个元素

$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
    $msg = "文件上传成功!";
    $is_upload = true;
} else {
    $msg = "文件上传失败!";
}

由于函数COUNT在计数时,将把数值型的数字计算进去;但是错误值、空值、逻辑值、文字则被忽略。
所以不会考虑这个空值,最后等于2,最后追加的是数组的第二位空值,从而绕过了jpg后缀
所以:

$file_name = reset($file) . '.' . $file[count($file) - 1] = 'upload-21.php' + '.' + '' = upload-21.php

最后在指定目录生成upload-21.php文件
请添加图片描述

伽蓝之堂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
upload-labs 通关
cgygsw的博客
11-26 904
1.这里的关键点就是htaccess文件,把所有的目录下的文件的解析方式都修改成了php。2.所以我们第二次上传的图片为2.png “png”不在黑名单中,但是htaccess文件又把他解析成了php的格式,所以可以正常的解析。
Upload-Labs通关
m0_64180167的博客
07-26 539
首先 很简单文件上传就是 需要用户进行上传文件 图片或视频等信息但是如果用户恶意上传木马怎么办?这里由提到了木马。
upload-labs通关笔记
jhfjdf的博客
09-09 476
upload-labs通关笔记upload-labs靶场pass1 禁用js绕过pass2 content-type绕过pass3 黑名单绕过pass4 .htaccess绕过pass5 点+空格+点绕过pass6 大小写绕过pass7 空格绕过pass8 点绕过pass9 ::$DATA绕过 upload-labs靶场 pass1 禁用js绕过 我们先在桌面创建一个php文件,内容为 然后将该文件上传pass1 我们右键查看源代码 发现存在js代码在限制文件上传类型 那就在浏览器禁用js 我用
upload-labs通关详解
weixin_45808483的博客
11-04 7840
Pass-01 尝试上传.php文件,提示不成功。只能上传图片类型的文件。 分析原因:是因为前端js拦截了,我们先将php文件后缀修改成合法的格式(.gif ),在使用burpsuite抓包,再修改.php后缀。 我们可以再upload的相应包中看一下我们是否将文件上传成功了。 可以看到我们成功的将一句话木马上传至靶场的服务器。 POST[] 中是自己的密码。 到这里以及成功了,我们可以尝试使用蚁剑连接。 Pass-02 第一步还是...
upload-labs通关攻略(更新中)
weixin_68070435的博客
03-13 2450
1.靶场介绍upload-labs是一个使用php语言编写,专注于文件上传漏洞的靶场。该靶场可以让练习者了解文件上传漏洞的原理、利用方法。
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
安装upload-labs
10-22
安装upload-labs
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
【LakeHouse】Apache Iceberg + Amoro 助力网易构建云原生湖仓
书山有路,学海无涯。记录成长,追逐梦想
05-19 737
湖仓一体的发展经历了从数据仓库到数据湖,最终到湖仓一体的过程。传统的数仓针对的是结构化数据,面向特定的分析或者报表场景,提供标准的 SQL 与标准的服务。随着业务规模的扩大,复杂性提升,对于半结构化、非结构化的数据存储和处理的需求涌现,催生了数据湖技术的发展。数据湖是在廉价的存储系统上,使用各种工具,满足各种数据类型的业务需求。这种非标准化的处理带来了管理成本和开发成本的上升。湖仓一体顺应而生,它是基于数据服务技术开发的廉价的系统,同时能够构建结构化数据的处理能力。
Apache Tomcat 简介
weixin_57763462的博客
05-22 344
Apache Tomcat 是一个开源的 Java Web 应用服务器,它是 Java EE 平台的一部分,用于托管 Java Web 应用程序。截至目前,Apache Tomcat 的最新版本是 10.1.24,发布日期为 2024年5月13日。Tomcat 的配置文件主要位于 conf 目录下,其中 server.xml 是最重要的配置文件,用于定义 Tomcat 的基本设置和组件。Apache Tomcat 拥有一个活跃的社区,提供了丰富的文档和教程,帮助用户解决安装、配置和使用过程中遇到的问题。
Windows 下载安装Apache
renkai2heng的博客
05-22 566
以管理员身份运行cmd,输入D:\Apache\apache\Apache24\bin\httpd -k install -n Apache。1、在Apache安装包中使用ApacheMonitor.exe启动,在D:\Apache\apache\Apache24\bin里面。1、打开Apache官网http://httpd.apache.org,点击Download。点击后会在右下角出现小图标,可在小图标中启动,也可双击小图标,在可视化面板中启动。2)、修改端口,有时80端口会被占用。
java生产制造执行系统MES源码:系统环境:Java EE 8、Servlet 3.0、Apache Maven 3 2;
爱笑的源码博客
05-22 895
用户管理:用户是系统操作者,该功能主要完成系统用户配置; 在线用户:当前系统中活跃用户状态监控,支持手动踢下线; 角色管理:角色菜单权限分配、设置角色按机构进行数据范围权限划分; 菜单管理:配置系统菜单、操作权限、按钮权限标识等,本地缓存提供性能; 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限; 岗位管理:配置系统用户所属担任职务;
【任务调度】Apache DolphinScheduler中关于全局参数设置、自定义参数、补数的介绍
weixin_42369773的博客
05-22 1005
海豚调度DolphinScheduler中关于全局参数设置、自定义参数、补数的介绍
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1163
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【全开源】沃德商协会管理系统源码(FastAdmin+ThinkPHP+Uniapp)
最新发布
u011092458的博客
05-25 385
一款基于FastAdmin+ThinkPHP+Uniapp开发的商协会系统,新一代数字化商协会运营管理系统,以“智慧化会员体系、智敏化内容运营、智能化活动构建”三大板块为基点,实施功能全场景覆盖,一站式解决商协会需求壁垒,有效快速建立自有数字化管理体系、提升组织管理效能、增强会员粘性、沟通连接市场,真正做到为构建有影响力的现代化智慧型组织赋能。数据决策支持:沃德商协会管理系统源码提供的数据统计和分析功能,为商协会提供了宝贵的决策支持,帮助商协会更好地了解市场需求和会员需求,制定更精准的发展战略。
深入解析:Element Plus 与 Vite、Nuxt、Laravel 的结合使用
一个普通人
05-23 918
Element Plus 作为一个强大的 Vue.js 组件库,可以与 Vite、Nuxt 和 Laravel 等不同的工具和框架结合使用,为开发者提供灵活、高效的开发体验。根据项目需求选择合适的工具和框架,可以极大地提升开发效率和应用性能
PHP生成二维码+二维码包含logo图片展示
颜夕_
05-20 269
前端你自己列表读uploads/admin/qrcode/‘.$aid.’.png这个就行。生成二维码包含logo图片(代码仅供参考,逻辑按照自己的写)用到的扩展自己安装(注:只生成二维码只要开gd扩展就行)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值